$ mkdir -p ./demoCA/{private,newcerts}
$ touch ./demoCA/index.txt
$ echo 01 > ./demoCA/serial
产生的目录结构如下:
`-- demoCA/
|-- index.txt
|-- newcerts/
|-- private/
`-- serial
然后执行下面的命令。
创建根证书
openssl rand -out private/.rand 1000
参考文件:
由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下:
最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。
创建证书,我目前知道的大概这么几种:
1.keytool
不能创建CA证书
2.Sybase ASA自带的createcert.exe
好像不能创建PKCS12型证书
3.OpenSSL
功能最强大。
所以,这里干脆只介绍OpenSSL了。
安装完OpenSSL-Win32到d:\tools之后,修改配置文件d:\tools\OpenSSL-Win32\bin\openssl.cfg
找到:
[ CA_default ]
dir = $ENV::OPENSSL_HOME/CA # Where everything is kept
这里原来值是./demoCA
还是用绝对路径比较好。就放到d:\tools\OpenSSL-Win32\CA目录下。
紧接着,做一些准备工作,创建一些子目录,准备创建证书,
完全的批处理命令如下:
- @echo off
- @rem set OPENSSL_HOME=d:\tools\OpenSSL-Win32
- set PATH=%OPENSSL_HOME%\bin;%PATH%
- mkdir %OPENSSL_HOME%\CA
- cd /d %OPENSSL_HOME%\CA
- echo "create subdir certs"
- mkdir certs
- mkdir newcerts
- mkdir private
- mkdir crl
- echo "create file: index and serial"
- echo 0>index.txt
- echo 01>serial
- echo "create rand file"
- openssl rand -out private/.rand 1000
- @rem echo %random% >> private/.rand
- @echo off
- set PATH=d:\tools\Openssl-Win32\bin;%PATH%
- echo create private key for rootca
- @rem the password, set it as 123456
- openssl genrsa -aes256 -out private/ca.key.pem 2048
- echo generate root ca request
- openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=*.sql9.com"
- echo create root ca cert
- openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer
- echo convert the cert from cer into PKCS12
- openssl pkcs12 -export -clcerts -in certs/ca.cer -inkey private/ca.key.pem -out certs/ca.p12
- echo use keytool can query the pkcs12 cert status
- keytool -list -keystore certs/ca.p12 -storetype pkcs12 -v -storepass 123456
- echo create server ca
- openssl genrsa -aes256 -out private/server.key.pem 2048
- openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=www.sql9.com"
- openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.cer
- openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12
- echo create client ca
- openssl genrsa -aes256 -out private/client.key.pem 2048
- openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=sql9"
- openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem
- openssl pkcs12 -export -clcerts -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12
- cp -r certs certs.new
原文:http://blog.csdn.net/iihero/article/details/17626845
这一针在农信银2代项目中有幸能碰到加密方面的东西,所以就好好学习了一下。不足之处还请前辈们见谅。
OpenSSL功能远胜于KeyTool,可用于根证书,服务器证书和客户证书的管理
这里使用的是Win32OpenSSL_Light-1_0_1e.exe
http://www.slproweb.com/products/Win32OpenSSL.html
1,构建根证书
构建根证书前,需要构建随机数文件(.rand),完整命令如
openssl rand -out private/.rand 1000
rand 随机数命令。这里将随机数文件输出到private目录下。
-out 输出文件路径,
这里的参数1000,指定来产生伪随机字节数
2,构建根证书私钥
openssl genrsa -aes256 -out private/ca.key.pem 2048
3,生成根证书签发申请
完成密钥构建操作后,我们需要生成根证书签发申请文件(ca.csr),完整命令如代码
openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=*.lesaas.cn"
req 产生证书签发申请命令
-new 表示新请求
-key 密钥,这里为private/ca.key.pem文件
-out 输出路径,这里为private/ca.csr文件
-subj 指定用户信息。这里使用泛域名"*.lesaas.cn"
得到根证书签发申请文件后,我们可以将其发生给CA机构签发,当然我们也可以自行签发根证书。
4,签发根证书(自行签发根证书)
openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer
x509 签发X.509格式证书命令。
-req 表示证书输入请求。
-days 表示有效天数,这里为10000天。
-shal 表示证书摘要算法,这里为SHA1算法。
-extensions 表示按OpenSSL配置文件v3_ca项添加扩展。
-signkey 表示自签名密钥,这里为private/ca.key.pem。
-in 表示输入文件,这里为private/ca.csr。
-out 表示输出文件,这里为certs/ca.cer。
====================================================================================================
OpenSSL产生的数据证书不能再JAVA语言环境中直接使用,需要将其转化为PKCS#12编码格式。
完整命令如代码
5,根证书转化
openssl pkcs12 -export -cacerts -inkey private/ca.key.pem -in certs/ca.cer -out certs/ca.p12
pkcs12 PKCS#12编码格式证书命令。
-export 表示导出证书。
-cacerts 表示仅导出CA证书。
-inkey 表示输入密钥,这里为private/ca.key.pem
-in 表示输入文件,这里为certs/ca.cer
-out 表示输出文件,这里为certs/ca.p12
个人信息交换文件(PKCS#12) 可以作为密钥库或信任库使用,我们可以通过KeyTool查看密钥库的详细信息。
6,查看密钥库信息
keytool -list -keystore d:/CA/certs/ca.p12 -storetype pkcs12 -v -storepass 123456
注意,这里参数-storetype值为“pkcs12”。
我们已经构建了根证书(ca.cer),我们可以使用根证书签发服务器证书和客户证书。
7,构建服务器证书
服务器证书的构建与根证书构建相似,首先需要构建私钥。
(1)构建服务器私钥
openssl genrsa -aes256 -out private/server.key.pem 2048
genrsa 产生RSA密钥命令。
-aes256 使用AES算法(256位密钥)对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。
-out 输出路径,这里指private/server.key.pem。
这里的参数2048,指RSA密钥长度位数,默认长度为512位。
(2)生成服务器证书签发申请
openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=www.lesaas.cn"
req 产生证书签发申请命令
-new 表示新请求。
-key 密钥,这里为private/ca.key.pem文件
-out 输出路径,这里为private/ca.csr文件
-subj 指定用户信息,这里使用域名“www.lesaas.cn”作为用户名。
我们已经获得了根证书,可以使用根证书签发服务器证书。
(3)签发服务器证书
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out
certs/server.cer
x509 签发X.509格式证书命令。
-req 表示证书输入请求。
-days 表示有效天数,这里为3650天。
-sha1 表示证书摘要算法,这里为SHA1算法。
-extensions 表示按OpenSSL配置文件v3_req项添加扩展。
-CA 表示CA证书,这里为certs/ca.cer
-CAkey 表示CA证书密钥,这里为private/ca.key.pem
-CAserial 表示CA证书序列号文件,这里为ca.srl
-CAcreateserial表示创建CA证书序列号
-in 表示输入文件,这里为private/server.csr
-out 表示输出文件,这里为certs/server.cer
这里我们同样需要将OpenSSL产生的数子证书转化为PKCS#12编码格式。完整命令如下
(4)服务器证书转换
openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12
pkcs12 PKCS#12编码格式证书命令。
-export 表示导出证书。
-clcerts 表示仅导出客户证书。
-inkey 表示输入文件,这里为private/server.key.pem
-in 表示输入文件,这里为certs/ca.cer
-out 表示输出文件,这里为certs/server.p12
我们已经构建了服务器证书(server.cer),并可使用该证书构建基于单向认证网络
(5)构建客户证书
客户证书的构建与服务器证书构建基本一致,首先需要构建私钥。
产生客户私钥
openssl genrsa -aes256 -out private/client.key.pem 2048
genrsa 产生RSA密钥命令
-aes256 使用AES算法(256为密钥)对产生的私钥加密。可选算法包括DES,DESede,IDEA和AES。
-out 输出路径,这里指private/client.key.pem
这里的参数2048,指RSA密钥长度位数,默认长度为512位
完成客户证书密钥构建后,我们需要产生客户证书签发申请
(6)生成客户证书签发申请
openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=BJ/L=BJ/O=lesaas/OU=lesaas/CN=lesaas"
req 产生证书签发申请命令
-new 表示新的请求。
-key 密钥,这里为private/client.csr文件
-subj 指定用户信息,这里使用“lesaas”作为用户名
我们已经获得了根证书,可以使用根证书签发客户证书(client.cer)
(7)签发客户证书
openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem
ca 签发证书命令
-days 表示证书有效期,这里为3650天。
-in 表示输入文件,这里为private/client.csr
-out 表示输出文件,这里为certs/server.cer
-cert 表示证书文件,这里为certs/ca.cer
-keyfile 表示根证书密钥文件,这里为private/ca.key.pem
最后,我们需要将获得客户证书转化Java语言可以识别的PKCS#12编码格式。
(8)客户证书转换
openssl pkcs12 -export -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12
pkcs12 PKCS#12编码格式证书命令、
-export 表示导出证书
-clcerts 表示仅导出客户证书。
-inkey 表示输入密钥,这里为private/client.key.pem
-in 表示输入文件,这里为certs/client.cer
-out 表示输出文件,这里为certs/client.p12
至此,我们完成了双向认证的所需的全部证书。
数字证书是公钥的载体,而密钥库可以包含公钥、私钥信息。
JKS和PKCS#12都是比较常用的两种密钥库格式/标准。对于前者,搞Java开发,尤其是接触过HTTPS平台的朋友,并不陌生。JKS文件(通常为*.jks或*.keystore,扩展名无关)可以通过Java原生工具——KeyTool生成;而后者PKCS#12文件(通常为*.p12或*.pfx,意味个人信息交换文件),则是通过更为常用的OpenSSL工具产生。
当然,这两者之间是可以通过导入/导出的方式进行转换的!当然,这种转换需要通过KeyTool工具进行!
回归正题,计费同事遇到一个难题:合作方交给他们一个*.pfx文件,需要他们从中提取密钥,然后进行加密交互。其实,通过Java直接操作密钥库文件(或个人信息交换文件)对于一般Java开发人员来说,这都是个冷门。不接触数字安全,根本不知所云。况且,Java原生的密钥库文件格式为JKS,如何操作*.pfx文件?密钥库操作需要获知密钥库别名,*.pfx别名是什么?!接下来就解决这些问题!
(PKCS#12是base64编码的)
方案:
通过keytool密钥库导入命令importkeystore,将密钥库格式由PKCS#12转换为JKS。
检索新生成的密钥库文件,提取别名信息。
由密钥库文件导出数字证书(这里将用到别名)。
通过代码提取公钥/私钥、签名算法等
先看格式转换:
Cmd代码 收藏代码
echo 格式转换
keytool -importkeystore -v -srckeystore zlex.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore zlex.keystore -deststoretype jks -deststorepass 123456
-importkeystore导入密钥库,通过格式设定,我们可以将PKCS#12文件转换为JKS格式。
-v显示详情
-srckeystore源密钥库,这里是zlex.pfx
-srcstoretype源密钥库格式,这里为pkcs12
-srcstorepass源密钥库密码,这里为123456
-destkeystore目标密钥库,这里为zlex.keystore
-deststoretype目标密钥库格式,这里为jks,默认值也如此
-deststorepass目标密钥库密码,这里为123456
通过这个操作,我们能够获得所需的密钥库文件zlex.keystore。
这时,我们已经获得了密钥库文件,只要确定对应的别名信息,就可以提取公钥/私钥,以及数字证书,进行加密交互了!
Cmd代码 收藏代码
echo 查看证书
keytool -list -keystore zlex.keystore -storepass 123456 -v
-list列举密钥库
-keystore密钥库,这里是zlex.keystore
-storepass密钥库密码,这里是123456
-v显示详情
现在,我们把证书导出!
Cmd代码 收藏代码
echo 导出证书
keytool -exportcert -alias 1 -keystore zlex.keystore -file zlex.crt -storepass 123456
-exportcert导出证书
-alias别名,这里是1
-keystore密钥库,这里是zlex.keystore
-file证书文件,这里是zlex.crt
-storepass密钥库密码,这里是123456
现在证书也导出了,我们可以提取公钥/私钥,进行加密/解密,签名/验证操作了!当然,即便没有证书,我们也能够通过密钥库(JKS格式)文件获得证书,以及公钥/私钥、签名算法等。
IIS配置SSL时遇到的错误:
1)证书链中的一个或多个中间证书丢失
How to configure intermediate certificates
- Open the Certificates Microsoft Management Console (MMC) snap-in. To do this, follow these steps:
- At a command prompt, type Mmc.exe.
- If you are not running the program as the built-in Administrator, you will be prompted for permission to run the program. In the Windows Security dialog box, clickAllow.
- On the File menu, click Add/Remove Snap-in.
- In the Add or Remove Snap-ins dialog box, click the Certificates snap-in in the Available snap-ins list, click Add, and then click OK.
- In the Certificates snap-in dialog box, click Computer account, and then click Next.
- In the Select computer dialog box, click Finish.
- In the Add or Remove Snap-ins dialog box, click OK.
- To add an intermediate certificate, follow these steps:
- In the Certificates MMC snap-in, expand Certificates, right-click Intermediate Certification Authorities, point to All Tasks, and then click Import.
- In the Certificate Import Wizard, click Next.
- In the File to Import page, type the file name of the certificate that you want to import in the File name box, and then click Next.
- Click Next, and then complete the Certificate Import Wizard.
,java)
:为什么main方法启动类需要放在项目根目录...)
![[转]Mysql Join语法解析与性能分析](http://pic.xiahunao.cn/[转]Mysql Join语法解析与性能分析)
